狡猾的犯罪者能將現(xiàn)場處理干凈，甚至故意留下虛假線索嫁禍他人，探案者稍稍疏忽，就可能被套路，然而精湛的偵探卻總能在蛛絲馬跡中找到破案線索。

偵探與罪犯的這一套邏輯，在黑客的世界同樣適用。對網(wǎng)絡(luò)安全稍有常識的人都知道，僅根據(jù)單一的線索，比如黑客襲擊的來源地來判斷黑客所在地，是完全不靠譜的 —— 稍有經(jīng)驗(yàn)的黑客攻擊者都能擾亂線索，藏匿身份并嫁禍于人。因此定位黑客和偵察案件一樣，是一場技術(shù)和謀略的較量。

前不久雷鋒網(wǎng)報(bào)道了一則《3/4 的勒索軟件都是“說俄語的人”做的！》的新聞，其中外媒softpedia 表示，75%的勒索軟件都是由說俄語的網(wǎng)絡(luò)罪犯搞出來的。

當(dāng)時卡巴斯基實(shí)驗(yàn)室的分析員表示，他們發(fā)現(xiàn)的 62 個加密勒索軟件家族中，47 個由俄羅斯人或說俄語的人開發(fā)。他們無法解釋為什么那么多勒索軟件族譜都有“俄羅斯血統(tǒng)”，猜測可能是因?yàn)槎砹_斯及周邊國家熟悉代碼編寫的人比較多。

然而近日英國的一家威脅研究機(jī)構(gòu)BAE 系統(tǒng)公司最近發(fā)布了一篇博文讓人大跌眼鏡：“有人蓄意將惡意軟件翻譯成俄羅斯語，以嫁禍俄羅斯人！ ”。

情節(jié)反轉(zhuǎn)，俄羅斯遭蓄意嫁禍？

據(jù)雷鋒網(wǎng)宅客頻道了解，事情是這樣的：BAE Systems公司的研究人員最近得到了幾份針對全球31個國家的104家金融機(jī)構(gòu)發(fā)起攻擊的惡意軟件樣本。他們發(fā)現(xiàn)，雖然里面有許多俄文，但是許多語句看起來狗屁不通，許多單詞都牛頭不對馬嘴，看起來像是有人故意用翻譯軟件將語言翻譯成俄文的。

舉個例子，在惡意軟件樣本中有一個這樣的詞：“kliyent2podklyuchit” ，分析人員用逆向工程翻譯成英文就是：“client2connect" （客戶端連接）。眼尖的分析人員一下就看出端倪，真正的俄羅斯本地人絕不會用“kliyent”這樣的單詞！在實(shí)際當(dāng)中，說俄語的人通常會使用“client" 或者”Klient"，但絕不會用蹩腳的“kliyent"。

經(jīng)過分析他發(fā)現(xiàn)，很可能是嫁禍者在使用在線翻譯工具，將軟件語言翻譯成俄文時，犯了一個錯誤，他把俄文底下的發(fā)音誤認(rèn)為是單詞了。

這就好比嫁禍者把“client”翻譯成中文“ kehu （客戶）”,然后想當(dāng)然地認(rèn)為中國的開發(fā)者會用 “ kehu ”來表示客戶端一樣，實(shí)際上我們的開發(fā)者并不會這么去做。

分析人員發(fā)現(xiàn)，類似的錯誤比比皆是，由此可以斷定，有人故意使用俄羅斯語言以嫁禍他人或者混淆視聽。

矛頭直指一知名黑客組織

分析人員表示，通過對此次惡意軟件樣本進(jìn)行分析，已有一定技術(shù)性證據(jù)表明該次攻擊活動和一個叫做“ Lazarus Group”的黑客組織有關(guān)。

Lazarus Group 是誰？

據(jù)雷鋒網(wǎng)了解，該組織至少自2009年就開始活動，且多年來一直在對韓國及美國的各政府機(jī)構(gòu)及私人組織發(fā)動各類攻擊。

2014年索尼電影娛樂公司遭遇攻擊，導(dǎo)致大量敏感數(shù)據(jù)外泄。FBI 及其它美國情報(bào)部門當(dāng)時將這一襲擊活動歸咎于朝鮮政府。（因?yàn)楫?dāng)時索尼娛樂公司當(dāng)時正準(zhǔn)備上映一部叫《刺殺金正恩》的電影，疑被報(bào)復(fù)），其后人們發(fā)現(xiàn)那起攻擊和 Lazarus Group有關(guān)。

2016年， Lazarus Group 發(fā)動了一次攻擊，洗劫了孟加拉中央銀行 8100萬美元。在那次攻擊活動中，黑客利用惡意軟件操縱銀行使用的計(jì)算機(jī)設(shè)備，試圖轉(zhuǎn)移的資金總額高達(dá)9億5100萬美元，但其中一部分被發(fā)現(xiàn)后由銀行方面進(jìn)行了恢復(fù)，因此搞到了 8100萬美元 。有趣的是，據(jù)國際新聞報(bào)道，當(dāng)時黑客攻擊被發(fā)現(xiàn)，也是因?yàn)椤昂诳推村e一個英文單詞”。

前不久發(fā)生的一起針對波蘭多家銀行的惡意軟件攻擊事件，也極有可能是 Lazarus Group 利用波蘭金融監(jiān)管局網(wǎng)站中存在的漏洞完成的。

卡巴斯基的安全研究員曾對該組織進(jìn)行過追蹤，當(dāng)時他們對該團(tuán)伙的活動時間、休息吃飯時間、睡覺時間等進(jìn)行了分析，表明該團(tuán)伙的多數(shù)人應(yīng)生活在東八區(qū)（GMT+8）或東九區(qū)（GMT+9），而且從當(dāng)時從Lazarus的樣本集來看，幾乎有2/3的網(wǎng)絡(luò)犯罪可執(zhí)行文件都包含了典型韓語用戶的元素。

并且，團(tuán)伙成員屬于極端型的工作狂，每日工作時間長達(dá)15-16個小時。Lazarus 儼然是業(yè)內(nèi)多年來所知的“最勤勞”的團(tuán)伙了。

【 Lazarus 團(tuán)伙作息規(guī)律】

“東八區(qū)或東九區(qū)”、“韓語元素”、"最勤奮的黑客”、“攻擊韓國和美國”，看到這里，雷鋒網(wǎng)編輯心理一驚，矛頭難道又要從俄羅斯黑客轉(zhuǎn)移到了朝鮮人身上。

不過，誰又能保證，這不是另一起更高明的嫁禍行為呢？黑客嫁禍這種事已經(jīng)不是一次兩次發(fā)生了，2009年google等幾十家美國公司受到黑客的攻擊后，《紐約時報(bào)》就在沒有充分證據(jù)的情況下，就稱該攻擊和中國的藍(lán)翔技校有關(guān)，之后也不了了之。

雷鋒網(wǎng)認(rèn)為，無論在現(xiàn)實(shí)生活還是網(wǎng)絡(luò)世界，說話總是都是要講究真憑實(shí)據(jù)的。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。